Forum Gehacked??

advieszeur · Bericht door **advieszeur** » 28 apr 2005, 23:27

Hi,

Een mede admin (nu weg) heeft een link in iedere titelbalk van een forum geplaatst.

Ik krijg deze niet meer weg.

Het forum is: http://forum.nl4u.nl

Ik had hem de admin rechten van het forum afgenomen. Een dag daarna had hij ze weer en had een styl weggegooid zodat het forum een dag plat heeft gelegen.

Ik heb hem toen weer alle rechten afgenomen (hij blijft dan een gewone gebruiker).

Nu heeft hij mij als gebruiker van het forum verwijderd, zijn naam gewijzigd in zokroz en zijn posts op 99999 gezet. Ook zijn broer met gebruikersnaam NL.W.TWIZTA heeft hij op 999 gezet.

De datums van alle templates zijn op de server ook aangepast, dus daar heeft hij ook wat mee gedaan. Hij heeft geen ftp rechten meer.

Ik vraag me af hoe iemand dat kan doen als hij zijn rechten op het forum niet meer heeft. Bovendien als ik kijk naar de templates zijn daar alle datums van aangepast op 29-04 (vandaag) dus hier heeft hij ook wat mee gedaan.

Is het phpBB forum zo makkelijk te hacken??
Of kan het zijn dat hij via een database connectie wat heeft gewijzigd??

Kan ik bij een volledige nieuwe installatie van de nieuwste versie, de backup (vanuit forum gemaakt) weer terug inlezen, inclusief alle users??

Ik zie dit n.l. als enige oplossing om hem kwijt te raken en dan het database wachtwoord ook meteen aan te passen.

Bee · Bericht door **Bee** » 29 apr 2005, 15:39

Link in titelbalk zie ik niet. Smilies bij het posten zie ik ook.

-=|Rik|=- · Bericht door **-=|Rik|=-** » 29 apr 2005, 20:15

Welk forum, er is alleen een witte pagina.

En dat je forum gehacked is is waarschijnlijk een fout van jezelf geweest. Toch niet alle rechten afgenomen ofzo

AarClay · Bericht door **AarClay** » 29 apr 2005, 21:13

Of je hebt de laatste updates niet.
Ik raad gewoon aan: Unmod iedereen behalve je eigen.
Ga na dmv logfiles bij je provider welk IP het was. Probeer deze terug te zoeken in de db.
Vervolges achterhalen welke provider het was en mailen daarnaar.
abuse@providernaam.nl

En dan kan de 'hacker' wel janken, want er is een kans dat ie zijn leven zonder internet moet doen.

En ja, ik heb ooit wel eens een user hiermee van het internet gekregen die later blijkbaar weer terug kwam op een andere internetprovider.
En daar werd ie ook gekicked, en elke provider weigert hem nu(alle aanmeldingen worden snel gecontroleerd, en tel.nrs gaan over de lijn als je inlogt met een modem bij een provider, evenals een USERID met ADSL).

advieszeur · Bericht door **advieszeur** » 30 apr 2005, 00:33

Ik heb wel alle rechten afgenomen, er zijn zelfs getuigen bij geweest.
Heb alleen hem nog wel als gebruiker laten staan. Omdat hij een subdomein heeft gehad, wist hij het wachtwoord van de database.

Waarschijnlijk had hij een kopie van de gehele phpBB2 map op zijn harde schijf gemaakt.

Ik had versie phpBB 2.0.12 geïnstalleer en nog niet aan de critical update toegekomen. Misschien heeft hij dit wel misbruikt.

Ik had hem ook nog even zijn subdomein laten houden, en ik zag nu dat hij zaken kon uploaden met een php-script. Misschien kan je zo een hack uploaden en gebruiken.

Heb nu dit ook meteen geblokkeerd, en de map van het forum hernoemt zodat hij er ook niet meer bij kan komen (vandaar de witte pagina).

Ik heb een nieuw forum aangemaakt 2.014 en probeerde een backup te restoren. Ik kreeg echter een foutmelding over

Code: Selecteer alles

Error importing backup file

DEBUG MODE

SQL Error : 1062 Duplicate entry 'één' for key 1

INSERT INTO phpbb_search_wordlist (word_text, word_id, word_common) VALUES('één', '3102', '0')

Line : 980
File : admin_db_utilities.php

Dus ik kan de oude niet restoren

advieszeur · Bericht door **advieszeur** » 30 apr 2005, 00:36

AarClay schreef:Ga na dmv logfiles bij je provider welk IP het was. Probeer deze terug te zoeken in de db.
Vervolges achterhalen welke provider het was en mailen daarnaar.
abuse@providernaam.nl

Ik heb zijn IP wel. Hoe kom ik achter zijn provider??

Luuk · Bericht door **Luuk** » 30 apr 2005, 13:55

Meestal kun je dat zien via http://network-tools.com, als je daar het ip indrukt krijg je een lijst en er staat ook de host. Bij mij krijg je dan bv xxxx.ndwrt1.lb.home.nl

AarClay · Bericht door **AarClay** » 30 apr 2005, 16:24

advieszeur schreef:
AarClay schreef:Ga na dmv logfiles bij je provider welk IP het was. Probeer deze terug te zoeken in de db.
Vervolges achterhalen welke provider het was en mailen daarnaar.
abuse@providernaam.nl

Ik heb zijn IP wel. Hoe kom ik achter zijn provider??

ga naar Start/Uitvoeren
type in: cmd
type:tracert ip.ad.r.es
en hoppa

Restoren kan ook, maar je meot eerst de DB even leegmieteren.